Le degré de sophistication et de persistance des cyberattaques dépend de l’attrait du rôle et des actifs d’une organisation. Souvent, ces attaques sont perpétrées par des groupes criminels internationaux organisés hautement spécialisés ou par des États-nations étrangers, et n’ont pas seulement pour cible les entités gouvernementales, mais également les entreprises. Ils ciblent particulièrement celles gérant des actifs financiers ou des renseignements de cartes de crédit à grande échelle ainsi que celles ayant effectué des investissements à l’étranger ou œuvrant dans le secteur des ressources stratégiques.
Ces acteurs malveillants exploitent une variété de faiblesses détectées dans l’environnement ciblé. Ils sont surtout à l’affût des lacunes qui se creusent à mesure que les consommateurs, les citoyens et les organisations adoptent le numérique. Selon l’expérience de CGI, ces faiblesses et ces lacunes ne sont pas uniquement d’ordre technologique, mais résultent également de défaillances dans les procédures de protection ou dans les pratiques de gestion des vulnérabilités. La meilleure technologie du monde, si elle est mal appliquée ou employée, n’assurera pas une défense adéquate contre de telles menaces.
Nous voyons trop souvent des organisations mettre en place des mesures de protection techniques sans toutefois mettre correctement en œuvre les politiques ou les procédures de sécurité appropriées. Il en résulte des pratiques inadéquates qui compromettent la sécurité et exposent les actifs à un risque important. L’inverse est aussi vrai et pourrait engendrer une menace encore plus grave : il se peut que les dirigeants d’organisations aient bien défini les politiques et normes de sécurité, mais n’aient pas conscience qu’en réalité, ces politiques et normes n’ont pas été mises en œuvre de façon cohérente à l’échelle de l’entreprise. Dans les deux cas, ils se trouvent dans une situation où le risque, duquel ils sont responsables, n’est pas atténué.
Il n’est plus possible d’assurer une sécurité et une gouvernance des actifs informationnels de manière ponctuelle, ou en ne déployant que des solutions techniques. Il faut plutôt adopter une approche globale appliquant une gestion efficace du risque et une bonne gouvernance dans l’ensemble de l’organisation, et par laquelle les valeurs clés que sont la visibilité, l’imputabilité et la responsabilité sont exprimées à tous les niveaux.
En nous inspirant de notre collaboration avec des clients de divers secteurs d’activité, nous avons défini dix mesures pour une bonne gouvernance de la sécurité des TI afin d’aider les organisations à mieux gérer le risque et à accroître leur résilience, tout en tirant parti des avantages de la transformation numérique.
- Déployez un modèle de gouvernance émanant du conseil d’administration dans l’ensemble des fonctions de l’entreprise par l’entremise de la haute direction.
- Développez et mettez en œuvre une approche de gestion du risque et une politique de sécurité globale de l’entreprise, en conformité avec vos exigences et processus d’affaires.
- Établissez un comité de direction d’examen des risques en TI (ERRB), ou intégrez-le à votre structure actuelle de gestion du risque, comme défini dans votre stratégie globale de gestion du risque.
- Nommez une autorité de sécurité des TI de l’entreprise, préférablement dotée d’une chaîne de commandement différente de celle de l’exploitation des TI. Définissez clairement les rôles et responsabilités.
- Établissez une autorité d’audits et de revues internes dotée de lignes de communication directes avec l’ERRB.
- Établissez et mettez en œuvre un cadre de gestion de la conformité aux audits et aux revues, pour vous assurer que ses objectifs sont communiqués dans toute l’organisation.
- En collaboration avec les équipes fonctionnelles et opérationnelles, définissez les actifs et l’information essentielle ainsi que les menaces et risques qui y sont associés.
- Développez et mettez en place des mesures de contrôle de sécurité ainsi que les procédures qui y sont associées, en vous assurant que la responsabilité et l’imputabilité sont définies en conformité avec le modèle RACI pour la gestion du risque.
- Créez et déployez un programme obligatoire de sensibilisation à la sécurité, auquel les membres du personnel devront participer pour bien comprendre leurs responsabilités et les objectifs visés par la gestion du risque et les contrôles de sécurité, ainsi que le raisonnement sous-jacent.
- Examinez régulièrement tous les éléments du programme afin d’effectuer les ajustements nécessaires et de vous assurer que les risques sont gérés efficacement et d’une manière équilibrée qui tient compte des besoins opérationnels.
Je vous invite à en apprendre davantage à ce sujet dans notre étude technique sur la gouvernance de la sécurité des TI.